启明星辰ADLab:工控网络攻击事件汇总

2019/07/03 23:52
阅读数 27





1.工控安全现状


工控即工业控制系统是水力、电力、石油化工、制造、航空航天、交通运输、军工等国家命脉行业的重要基础设施。这些重要的系统一旦受到攻击,便会严重威胁到居民生活甚至是国家安全。而传统的工控系统安全偏向于功能安全、设备硬件安全属于生产事故或者故障范涛,却极少关注信息安全,由于这些工业控制系统和设备大都比较老旧,生产、制造和使用的过程也较为封闭,使得信息安全问题(包含软件、固件、网络等安全问题)暴露的几率极低。更严重的是即使发现信息安全问题或者黑客攻击,部分系统却难以更新甚至没有更新接口。这些工控系统中存在的安全问题就像是一个个定时炸弹一样隐藏在其中,严重威胁到工控行业的安全。通过对CNVD公开披露的工控漏洞数据的统计分析发现(如图1-1),截至目前有2743个工控漏洞,其中高危漏洞占比为33%,有907个,中危漏洞占比为42%,达1163个,大大高于传统行业的高中危漏洞比例。其中部分硬件级别的漏洞修复极为困难,只能进行硬件更新。



图1-1 工控漏洞等级分布图


通过每年的漏洞披露数量绘制的柱状图如图1-2可以看出,2011年工控类的漏洞数量激增,这可能是因为2010年“震网”攻击伊朗核设施的事件所致。“震网”事件使得工控安全迅速得到了普遍的重视,甚至被各国提升到了国家安全战略的位置,因而信息安全企业和相关安全研究人员持续关注工业控制系统安全问题及工业控制系统厂商在客户的压力下开始注重自己所存在的一些历史遗留安全问题。由此使得接下来的几年里,漏洞披露的数量均保持在较高水平。但由于工业控制系统的封闭性使得工控安全研究进展缓慢,工业控制系统是使用方对信息安全从认识到真正能够实施信息安全相关政策需要一定时间,因而在2015年至2016年多起工控攻击事件如乌克兰电厂两次大规模停电攻击、纽约鲍曼水库防洪控制系统攻击、德国核电站网络攻击、针对西门子ICS/SCADA的IronGate病毒攻击等的刺激,再一次地对工控系统安全发起警告,使得2016的工控漏洞再一次出现了高增长,直到2018年工控安全漏洞数量高达469个。




图1-2 工控漏洞数量


同样,在震网攻击伊朗核设施的事件之后,工控类安全攻击事件的披露数量也得到明显的提升。由于普遍的关注和信息安全厂商的介入,使得这些攻击威胁被提前发现并终止,其中大部分均在情报收集阶段便被披露如Duqu、Flame、Havex(Dragonfly1.0)、Dragonfly2.0、Triton、VPNFilter等,并未造成重大后果,仅有少数攻击是在造成严重事故后才被发现(乌克兰电力系统攻击的BlackEnery和Industroyer)。


值得注意的是,近几年疯狂肆虐的勒索病毒也已经盯上工业控制系统。其中除了2016年爆发的wannacry已经染指工控行业外,去年2018年8月3日台积电开始遭到针对性的勒索病毒攻击致使该企业高达18亿的损失,而2019年3月18日位于挪威全球最大铝生产商之一的海德鲁(Norsk Hydro)公司同样也遭到了针对性的勒索软件攻击,致使其位于欧洲和美国的部分自动化生产线被迫关闭。


本文首先会就2000年之后的工控网络攻击事件进行梳理并选取其中最具影响的攻击事件及相关的攻击武器进行详细阐述。将会对这些攻击事件进行深入探讨并对其中10个重要的攻击武器进行一次总结归纳,通过分析其攻击背景、目标、手法以及技术特性,以使大家对工业控制系统所面临的安全威胁有一个更为全面的认识。


2.工控类攻击事件汇总


在2019年3月7日,委内瑞拉全国发生大规模停电事件,影响23个州中的18个州,美国被指导演了这场针对委内瑞拉的“电力战争”,但目前并没有直接证据. 但美国国务卿迈克•蓬佩奧在3月7日晚上发布了一条推特:“No food. No medicine. Now, no power. Next, no Maduro.”,似乎印证了该指责。迈克•蓬佩奧的Twitter截图如图2-1所示。



图2-1 蓬佩奧Twitter截图


如果委停电事故的确有国家级网络攻击所致,那么该事件便是一起比以往任何工控攻击事件都严重的网络攻击事件,该次事件导致本已政局不稳的委内瑞拉更加动荡不安。在曾经的工控攻击事件中,有两次是针对电力系统并且成功导致大范围停电的网络攻击,分别为2015年12月和2016年12月的乌克兰电力系统攻击事件。除了这几起导致了严重后果的工控攻击外,从2000年开始已经有持续不断的工控恶意攻击事件,本节将会从2000年到目前的39起攻击事件进行回顾分析。而其中许多都是具有政府背景的网络安全攻击如:攻击伊朗的Stuxnet、针对能源行业的Duqu、攻击乌克兰电厂的Blackenergy和Industroyer等等,我们将目前能够收集到该类黑客攻击事件绘制成了一个时间线,如图2-2所示。
 


图2-2 工控攻击事件时间线


(1)澳大利亚马卢奇污水处理厂非法入侵事件


2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,故障表现为:无线连接信号丢失、污水泵工作异常、报警器也没有报警。经过调查后发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。Vitek Boden通过一台手提电脑和一个无线发射器控制150个污水泵站长达三个多月,在此期间,共计有100万公升的污水未经处理直接经雨水渠排入自然水系,进而导致当地环境受到严重破坏。


(2) 加州电力运营商被入侵


2001年5月11日,黑客入侵监管加州多数电力传输系统的独立运营商被发现。Cal ISO的官员说,安全漏洞已经被修复,电网没有受到威胁。但是,据了解内情的人称,黑客已经非常接近进入控制系统的关键部分了,一旦进入核心控制部分,可能会破坏整个加州的电网。事后的一份内部调查报告显示:该攻击最早于4月25日开始,直到5月11日才被发现。


(3)美国Davis-Besse核电站受到Slammer 蠕虫攻击事件


2003年1月,美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQL Slammer(也被称为“蓝宝石”)蠕虫攻击,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机长达5小时无法正常工作。经调查发现,该病毒利用SQL Server 2000中1433端口的缓冲区溢出漏洞进行攻击,在攻击成功后,它会尝试感染随机生成的IP地址对应的主机,进而使得网络拥堵,造成SQL Server无法正常工作甚至宕机。


(4)龙泉、政平、鹅城换流站控制系统感染病毒事件


2003年12月30日,龙泉、政平、鹅城换流站控制系统感染病毒。事后调查发现,由于外国工程师在系统调试中使用笔记本电脑上网,因此导致控制系统感染病毒。


(5)美国Browns Ferry核电站受到网络攻击事件


2006年8月,美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器失灵,导致3号机组被迫关闭。事后调查发现,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD和PLC可以在以太局域网中接受广播式数据通讯。但是,由于当天核电站局域网中出现了信息洪流,VFD和PLC无法及时处理,致使两台设备瘫痪。


(6)黑客通过互联网控制哈里斯堡污水处理厂计算机事件


2006年10月, 黑客通过一台受感染的笔记本电脑访问位于宾夕法尼亚州哈里斯堡的水处理厂的计算机系统,并以此为跳板在工厂内部计算机中安装病毒和间谍软件,而该受感染笔记本电脑系污水厂员工所有。美国联邦调查局费城办事处的特工杰里威廉姆斯说,黑客不是为了破坏污水处理厂,而只是将计算机作为分发电子邮件的资源或者用作其他用途。美国水工协会宾夕法尼亚分部安全协调员Mike Snyder说,如果黑客是针对污水处理厂发起的攻击,那可能会产生极其严重的后果,因为一旦攻击者提高水中的氯的含量,会使污水变得非常危险。


(7)黑客入侵加拿大的一个水利SCADA控制系统事件


2007年,黑客入侵了加拿大一个水利SCADA控制系统,并破坏了用于取水调度的控制计算机。


(8)14岁男孩入侵有轨电车事件


2008年1月8日,14岁波兰男孩利用自己改装的电视遥控器“入侵”罗兹市有轨电车系统的轨道控制系统,改变电车运行轨道,致使四辆电车脱轨,所幸没有人员遇害。


(9) 震网病毒攻击伊朗核电站


2010年6月,Stuxnet被白俄罗斯安全公司VirusBlokAda首次发现,它的传播是从2009年6月开始甚至更早,它攻击伊朗布什尔核电站,致使铀浓缩设备的出现故障,成功推迟了伊朗核计划,是第一个专门定向攻击真实世界中基础(能源)设施的恶意代码。


(10)Duqu(Stuxnet变种)收集工控系统周边情报


Duqu是2011年9月1日在布达佩斯技术经济大学的密码学与系统安全(CrySyS)实验室中发现的恶意软件,被认为是Stuxnet的一个新型变种并且由以色列的“8200部队”创建。其目的是潜伏并收集攻击目标的各种信息,以便在获得远程进入的能力,为将来发动网络袭击做技术储备。


(11)全新网络间谍Flame攻击能源领域


Flame是2012年5月被发现的恶意代码,在中东地区大范围传播。其构造复杂,可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。


(12)全球最大的石油公司被黑客攻击


2012年8月15日,沙特阿拉伯国营石油公司阿美石油公司(Aramco)遭到Shamoon电脑病毒的侵袭。该病毒清除了四分之三的阿美公司企业PC上的数据(电子表格、电子邮件等文件),并用一张燃烧的美国国旗图片改写了硬盘的主引导记录。美国官员进而暗示,这起攻击事件是在某个国家政府的支持下进行的,其中有些报道援引有些人的猜测表示,Shamoon电脑病毒来自伊朗。然而,在这场电脑病毒袭击事件发生后,一个自称为“正义利剑”(Cutting Sword of Justice)的黑客行动主义者组织声称对这起事件负责,他们表示,他们此举是为了抗议沙特政府采取的相关行动。


(13)USB病毒攻击美国电厂窃取工控系统数据


2012年,两座美国电厂遭受USB病毒攻击。随后美国工控应急响应中心表示,包含恶意程序的U盘插入系统,导致工厂的工控系统被病毒感染,攻击者可以远程控制受感染的电脑并窃取相关数据。


(14)Havex袭击工业控制系统


Havex于2013年被发现,主要攻击对象是欧洲的使用和开发工业应用程序和机械设备的公司,并成功入侵1000多家欧洲和北美能源公司。


(15) 俄罗斯一座核电厂被震网感染


2013年11月12日,卡巴斯基披露,臭名昭著的“震网”病毒感染了俄罗斯的一座核电厂,据说这家尔罗斯核电站并未接入互联网。


(16)日本Monju核电厂控制室被入侵,部分数据被泄露


2014年1月2日,Monju核电站控制室中的一台计算机遭到入侵。网络管理员发现,在员工更新了某电脑中的一个免费应用程序后,反应堆控制室中的系统在过去5天内被访问了30多次。该计算机中存有42000多封电子邮件和员工培训资料。调查次事件的专家认为这是一次基于恶意软件的攻击。恶意代码可能是通过软件更新感染到核电站内部并窃取了一些数据,然后发送到C&C服务器。网络出站流量日志显示,C&C服务器在韩国。


(17)韩国水力核电厂计算机系统被入侵,内部资料外泄


2014年12月,运行韩国23个核反应堆的韩国水电核电有限公司(KoreaHydro and Nuclear Power Co.,Ltd)表示,其计算机系统遭到黑客攻击,但只有非关键数据被盗。


(18)德国钢铁厂遭受APT攻击


2014年12月,德国联邦信息安全办公室公布消息称:德国一家钢铁厂遭受高级持续性威胁(APT)网络攻击,并造成巨大的经济损失。攻击者使用鱼叉式钓鱼邮件和社会工程手段,获得钢厂办公网络的访问权。然后利用这个网络,设法进入到钢铁厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转,由于不是正常的关闭炼钢炉,从而对设备造成重大物理伤害。


(19)中石化华东公司内鬼破坏SCADA系统骗取维修费


2015年5月23日,上海市奉贤区人民法院宣判了一起破坏SCADA系统谋取私利的案件。涉案人员徐某、王某以谋取维修费用为目的,由徐某针对中石化华东公司SCADA系统开发了一套病毒程序,王某利用工作之便,将此病毒程序植入到华东公司SCADA系统的服务器中,导致SCADA系统无法正常运行,软件公司先后安排十余名中外专家均无法解决问题。此时,两名嫌疑人再里应外合,由公司内部的王某推荐开发病毒程序的徐某前来“维修”,骗取高额维修费用,实现非法牟利。


(20) 波兰航空公司操作系统遭遇黑客攻击


2015年6月21日,LOT波兰航空公司的地勤系统遭黑客攻击,无法制定飞行计划,致使预定航班无法出港,导致长达5个小时的系统瘫痪,至少10个班次的航班被迫取消,超过1400名乘客被迫滞留在波兰华沙萧邦机场。所幸,黑客攻击没有对正在飞行的飞机和机场系统产生影响,否则后果不堪设想。该事件是全球首次发生的航空公司操作系统被黑事件。


(21) 乌克兰大停电


2015年12月23日,乌克兰电力部门遭受到恶意代码攻击,乌克兰新闻媒体TSN在24日报道称:“至少有三个电力区域被攻击,并于当地时间15时左右导致了数小时的停电事故”;“攻击者入侵了监控管理系统,超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。


(22)黑客入侵纽约鲍曼水库


2016年3月24日,美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。这些伊朗黑客可能为伊朗伊斯兰革命卫队服务,他们还涉嫌攻击了包括摩根大通、美国银行、纽约证券交易所在内的46家金融机构。


(23)德国核电站遭网络攻击


2016年4月,德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了Conficker和Ramnit恶意软件。核电站的操作员RWE为防不测,关闭了发电厂。


(24)Stuxnet震网病毒的高仿版IronGate——专攻西门子ICS/SCADA


2016年6月2日,FireEye称,他们于2015年下半年发现一款恶意软件——IronGate(铁门),该恶意软件利用了和Stuxnet相同的技术和功能,并将目标锁定在了西门子工业控制系统上。在2014年,两个不同来源的该恶意代码被上传到VirusTotal,但是当时所有的防病毒厂商都没有将其标记为恶意。IronGate的特点是针对工业过程模拟中的过程输入输出(IO)和过程操作员软件的中间人(MITM)攻击。Irongate用恶意DLL替换正常的DLL,恶意DLL充当可编程序逻辑控制器(PLC)与合法监控系统之间的中间人。该恶意DLL从PLC到用户界面记录“正常”的流量并进行替换,同时将不同的数据再发回PLC。这就允许攻击者在操作者不知情的情况下改动受控过程。由此可见,Irongate和Stuxnet的相似之处:均利用寻找和替代专用的DLL文件,来实现中间人攻击。从复杂性上说,IronGate与Stuxnet相比根本不在一个量级,但是它使用了一些新技术和方法。二者的不同点:Stuxnet检测杀毒软件,而IronGate检测运行环境(VMware、Cuckoo);Stuxnet不会隐藏过程操作,而是暂停了S7-315的正常运行,但IronGate主动记录和回放过程数据以隐藏操作。该恶意软件似乎是为在某种特定仿真环境下运行编写的,因此FireEye的研究人员认为该软件可能是一种工控系统攻击技术测试、概念验证或研究活动。


(25)“食尸鬼”网络攻击


2016年8月,卡巴斯基揭露了针对工控行业的“食尸鬼”网络攻击,该攻击针对30多个国家的工业、制造业和工程管理机构发起了定向渗透入侵,利用鱼叉式钓鱼邮件攻击目标机构的高级管理人员的PC,攻击中使用键盘记录程序HawkEye收集受感染系统的输入数据。攻击范围包括西班牙、巴基斯坦、阿联酋、印度、中国、埃及等国。


(26)黑客入侵美国供水电脑系统操作系统


2016年10月9日,黑客利用美国宾夕法尼亚州哈里斯堡市一家自来水厂员工的个人电脑入侵了该厂负责水过滤的电脑系统,并在水过滤电脑上安装间谍软件,利用受感染主机向外发送电子邮件和盗版软件,与此同时,黑客还修改了该电脑的登录密码,致使水厂管理员也不能够进入操作系统。


(27)Shamoon v2攻击沙特阿拉伯民用航空管理局


2016年12月,安全研究人员发现Shamoon出现了新变种,并称它为“Shamoon 2”。黑客利用它对沙特阿拉伯民用航空管理局(Saudi Arabia’s General Authority of Civil Aviation,GACA)发起有针对性的攻击。


(28)乌克兰电网遭攻击,造成大范围停电


2016年12月17日当地时间23点左右,乌克兰的国家电力部门又一次遭遇了黑客袭击,这次停电持续了 30 分钟左右,受影响的区域是乌克兰首都基辅北部及其周边地区。推测2016年12月那次半个小时的乌克兰停电事件是由Industroyer攻击导致。


(29) WannaCry利用永恒之蓝漏洞肆虐全球


2017年5月12日,WannaCry勒索病毒利用MS17-010漏洞袭击全球,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业。中国部分普通用户和企事业单位受到感染,导致大量文件被加密,无法正常工作,影响巨大。


(30) Dragonfly 2.0出现


2017年9月6日,赛门铁克发布消息称,著名俄罗斯黑客组织“Dragonfly”近期活动更加频繁。“Dragonfly”是一个专门以能源电力机构、ICS设备制造厂商、石油管道运营商等为攻击目标的黑客组织。最近发现的“Dragonfly”从攻击目的和恶意代码技术上都有所提升,被称为“蜻蜓二代”或者“Dragonfly2.0”。


(31)Triton被FireEye披露


2017年11月中旬,Dragos Inc.团队发现了针对ICS量身定做的恶意软件,并将此恶意软件命名为TRISIS(又被称为 Triton 和 HatMan),该恶意软件的攻击目标是沙特阿拉伯的一家石油化工厂。同年12月,FireEye发布了Triton的分析报告。Triton恶意代码当时的攻击目的是破坏其运营并引发爆炸,因为攻击者的一个失误触发了关键系统紧急关停,导致攻击失败,暴露自身。


(32)俄黑客对美国核电站和供水设施攻击事件


2018年3月15日,US-CERT对外公告(TA18-074A)称俄罗斯黑客发起针对美国某发电厂的网络攻击。本次攻击的主要目的是以收集情报为主,攻击者植入了收集信息的程序,该程序捕获屏幕截图,记录有关计算机的详细信息,并在该计算机上保存有关用户帐户的信息。


(33)台积电遭勒索病毒入侵,3天损失18亿


2018年8月3日晚间,台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部,遭遇勒索软件攻击且生产线全数停摆。直到8月6日台积电官方才发表声明,称已经恢复生产。官方发言人还表示这三天的停摆,将会直接导致台积电第三季度的营收下降3%!而据此前对台积电第三季度营收的预测为600亿,3%也就是18亿!台湾媒体爆料称,这次攻击台积电设备的是勒索病毒Wannacry,而中毒的原因可能是Windows 7系统没有升级补丁,或者没有关闭445端口,导致WannaCry病毒入侵就迅速传播到其他生产线中。


(34)GreyEnergy攻击乌克兰和波兰能源公司


2018年10月 18日,ESET团队称发现一个新的APT组织GreyEnergy,该APT组织被认为是BlackEnergy的继承者。在过去三年内,GreyEnergy主要针对乌克兰和波兰的能源公司等高价值目标。GreyEnergy的恶意软件框架与BlackEnergy具有很多相似之处。研究人员并没有观察到专门针对ICS的恶意软件模块,但GreyEnergy的攻击策略一直是针对关键基础设施中的SCADA工作站和服务器等。


(35) 意大利石油与天然气服务公司Saipem遭遇网络攻击


2018年12月10日,意大利石油与天然气开采公司Saipem遭受网络攻击,主要影响了其在中东的服务器,包括沙特阿拉伯、阿拉伯联合酋长国和科威特,造成公司10%的主机数据被破坏。Saipem发布公告证实此次网络攻击的罪魁祸首是Shamoon恶意软件的变种。McAfee研究人员Shamoon磁盘擦除攻击归咎于伊朗黑客组织APT33。


注:APT33是一个可疑的伊朗威胁组织,自2013年以来一直在运营。该组织针对的是美国、沙特阿拉伯和韩国的多个行业,其中尤其关注航空和能源领域。


(36)VPNFilter攻击


VPNFilter恶意代码旨在入侵物联网设备(路由器、网络存储设备等)从事可能由国家发起的全球性的高级恶意软件攻击。它能够根据远程的指令,安装不同特定功能的模块,并运行相应的功能,不同场合安装的模块可能会不一样,如在工业控制设备上会安装Modbus、SCADA相关的组件,在需要监听通信内容时安装Tor、ssller模块等。其中,ssller模块可用于中间人攻击,向网络注入恶意流量负载,修改发送的流量,嗅探网络数据,并收集凭证,监督控制和数据、Tor模块与远程C&C进行加密通信。


(37)委内瑞拉停电事件


2019年3月7日,委内瑞拉全国发生大规模停电事件,影响23个州中的18个州。据媒体报道,停电是因为南部玻利瓦尔州的一座主要水电站发生故障,事件发生后,委内瑞拉政府立刻组织人力调拨资源全力恢复,与此同时,总统马杜罗指出,大规模停电是美国方面的攻击行为造成,但是并未提供上述指控的证据。


(38)全球最大铝生产商遭LockerGoga勒索软件攻击


据外媒报道, 2019年3月18日,位于挪威全球最大铝生产商之一的海德鲁(Norsk Hydro)公司遭勒索软件攻击,攻击致使其位于欧洲和美国的部分自动化生产线被迫关闭,并以手工生产流程运营冶炼厂。如当前情况持续则可能导致延迟交货,甚至可能会影响铝价格。据挪威国家安全局(NSM)称,攻击者有可能使用了在今年1月首次被发现的LockerGoga勒索软件,它不是一种大范围传播的勒索软件,但在今年早些时候也曾被用于攻击法国工程咨询公司Altran Technologies,而海德鲁应该是该勒索软件近期唯一的受害者。


(39)Triton卷土重来


2019年4月10,FireEye披露了工业控制系统恶意软件Triton的最新的战术、技术、流程(TTP),并将其kill chain发布到了MITRE ATT&CK框架,但是并未公布本次受到攻击基础设施的类型,行业以及所处地理位置等相关信息。报告称攻击者已经在目标网络中潜伏将近一年,在建立立足点以后,攻击者使用多种工具进行侦查、横向移动以及持久化。


从上述的攻击事件可以看出,工控行业的攻击从未有所停止,反而更加的频繁,这些攻击大多都是具有经济目的和政治动机的。大都前期利用间谍软件进行情报获取,试图通过情报信息的分析来确定其下一步攻击,部分攻击已经切实的导致设备停机网络断电等严重后果。因此,对于这些工控攻击所采用的攻击手法、攻击工具、攻击路径的更深入的理解变得非常重要。下一章我们将从以上39件工控行业的攻击事件中选出其中影响力较大的攻击及其攻击武器进行更加深入的分析。




转载自:启明星辰

https://www.venustech.com.cn/article/1/8925.html





本文分享自微信公众号 - 网络空间安全资讯(cyber-news)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部